Событие Лета Pwnage (SOP), на которое это идет в Амстердаме в этом месяце, оказывается огромным успехом, и для организаторов и для сообщества WordPress, которое теперь пожинает вознаграждения, поскольку отчеты об ошибках помогают рабочей группе WordPress и вставным авторам обеспечить их кодекс.

Событие рекламировалось как возможность для голландского infosec и программного сообщества, чтобы собраться и узнать о безопасности в Интернете, или через семинары или собирая кодеры на Хакатонах, нацеленных на обнаружение новых недостатков безопасности.

Securify, компания, которая организовала мероприятие, решил сосредоточиться только на одной технологии за один раз, что-то, что они планируют сделать для будущих выпусков КУСКА. В этом году они выбрали WordPress, из-за широкого использования CM и дружеских отношений среди всех сегодняшних кодеров и экспертов по безопасности.

Событие, которое, как намечают, произойдет в течение всего месяца июля, в настоящее время привело к 64 ошибкам безопасности, обнаруженным не только в ядре CMS WordPress, но также и во многих его самых популярных плагинах.

Securify и исследователи, которые нашли проблемы, сообщили и помогли зафиксировать 18 из этих слабых мест. О других 46 проблемах сообщили также, и проекты, ответственные за решение проблем, заняты, готовя новые участки.

Мы, здесь в Softpedia, заметили две из самых больших проблем, обнаруженных исследователями, занятыми в этом случае, двух широко достигающих постоянных проблем XSS в двух очень популярных плагинах WordPress: Все в одной SEO и WooCommerce.

Другие проблемы все еще на стадии «сообщения» включают DoS (Отказ в обслуживании), постоянный XSS (поперечные сценарии места) и ошибка CSRF ни в ком другом, чем ядро WordPress. Зная службу безопасности WordPress, несомненно они будут зафиксированы в предстоящих версиях CMS.

Softpedia обратился к команде Секурифи, которая была достаточно любезна, чтобы ответить на некоторые наши вопросы относительно события и их планов относительно будущего.

Помимо Securify, там другие люди, вовлеченные в проект?

Securify: мероприятие организуется & управляется Securify. Участники события активно ищут слабые места в WordPress & WordPress Plugins. Некоторые уже представили некоторые их результаты.

Главная цель события - (IT) студенты, чтобы помочь им начать и преподавать их больше безопасности программного обеспечения. У нас есть два/три переговоров за встречу. Эти доклады в настоящее время сделаны сотрудниками Securify, но мы надеемся привлечь внешних спикеров к будущим событиям.

Как была забастовка?

Securify: Мы начали организовывать мероприятие в середине июня, таким образом, мы действительно не знали, что ожидать. Мы довольно довольны забастовкой. Намного больше подписалось через наш веб-сайт, но до сих пор не обнаружилось.

Почему Вы выбирали WordPress в течение этого года? Это из-за плохой репутации, которую WordPress имеет среди промышленности кибербезопасности?

Securify: Лето Pwnage началось как шутка после того, как один из наших коллег нашел уязвимость в Плагине WordPress. Одна вещь привела к другому и всем внезапным, мы распространяем флаеры в Universities & Technical Colleges.

Нет никакого реального плана здесь, но, учитывая большое количество Плагинов WordPress там, нужно ожидать, что много проблем должно было быть найдено.

Видя, что событие имело успех, WordPress останется в меню, или Вы планируете выбрать различную технологию каждый год?

Securify: мы будем, вероятно, нацелены на другой проект в следующем году. Могло быть что-либо, мы все еще хотим остаться элементом обмена знаниями, таким образом, это должно быть что-то, что люди могут взять легко.

Как сделал связи с командой WordPress, идут? Они знали перед тем, что Вы планировали?

Securify: команда WordPress, кажется, знает то, что они делают, который помогает сообщить проблемы и решить их. Связь со Вставными авторами намного более трудна. Мы не сообщали им заранее.

Какова была обратная связь от вставных авторов?

Securify: Некоторые отчеты все еще ждут подтверждения / ответ. Нахождение надлежащего способа связаться с авторами не всегда тривиально. С достаточным постоянством я ожидаю, что большинство проблем будет устранено в конечном счете.

Кроме того, у команды WordPress есть политика удалить плагины с известными слабыми местами с их места, пока они не решены. Я думаю, что это также помогает получить устраненные проблемы.

Каков Ваш любимый или самый творческий отчет об ошибках от КУСКА до сих пор?

Securify: Это трудно сказать, поскольку все одобряют их собственные результаты. Лично, мне нравятся проблемы, найденные участниками, у которых ранее не было опыта с поиском слабых мест безопасности.

Кто-либо приблизился к Вам для будущего спонсорства?

Securify: Эта идея была упомянута однажды, но до сих пор, мы еще не получили конкретных предложений.